La trasformazione digitale è una sfida e un’opportunità per le aziende moderne. Per sfruttare al meglio le potenzialità delle nuove tecnologie, è necessario adottare una strategia di sicurezza dei dati che sia efficace e flessibile allo stesso tempo. Adottando soluzioni di Data Loss Prevention (DLP), le aziende possono proteggere la proprietà intellettuale, ma spesso finiscono per compromettere la produttività e la privacy dei dipendenti puntando sulla sicurezza – Emiliano Massa, Area Vice President Sales, Southern Europe, Proofpoint, ci spiega che questo problema può avere una soluzione.
Norton: maggiore sicurezza per i dispositivi e VPN per la privacy online
Proofpoint: sicurezza e privacy, senza rinunciare alla produttività
La Data Loss Prevention (DLP) consente alle aziende di identificare i dati sensibili, monitorarne l’accesso e l’utilizzo, applicare delle policy di protezione e intervenire in caso di violazioni o incidenti. Qualcosa di fondamentale, se consideriamo che i dati sono una risorsa strategica per le aziende moderne.
Ma bisogna ricordare che i dati possono essere esposti a diversi rischi: attacchi informatici, errori umani, falle nella sicurezza o nella conformità normativa. La perdita o il compromesso dei dati può avere conseguenze gravi per le aziende: danni alla reputazione, perdita di fiducia dei clienti o dei partner, sanzioni legali o finanziarie.
Quindi proteggerli diventa fondamentale. Ma Massa ci spiega che la DLP non deve essere vista come una limitazione alla trasformazione digitale delle aziende. Al contrario, deve essere integrata in una visione più ampia che tenga conto anche della produttività degli utenti e della privacy dei dipendenti. Questo significa che la DLP non deve essere troppo rigida o troppo flessibile, ma adeguata al contesto e alle esigenze specifiche di ogni organizzazione.
Trovare un equilibrio
Un approccio troppo rigido alla DLP può infatti avere degli effetti negativi sulla produttività degli utenti e sulla privacy dei dipendenti. Se le policy sono troppo restrittive o invasive, possono impedire agli utenti di accedere ai dati necessari per svolgere il loro lavoro o violare la loro privacy quando usano le risorse aziendali. Questo può generare frustrazione, demotivazione e resistenza al cambiamento da parte degli utenti, oltre a creare problemi legali o etici per l’organizzazione.
Un approccio troppo blando alla DLP può invece avere degli effetti negativi sulla sicurezza dei dati. Se le policy sono troppo lasche o inconsistenti, possono permettere agli utenti di accedere a dati che non dovrebbero vedere o usare in modo improprio o negligente. Questo può aumentare il rischio di perdita
o furto dei dati sensibili da parte di attori interni o esterni all’organizzazione.
Una soluzione DLP efficace deve quindi essere in grado di adattarsi al contesto e al contenuto delle informazioni trattate. In altre parole, deve applicare criteri di sicurezza diversi a seconda del ruolo e della posizione dell’utente che accede ai dati e del tipo e della classificazione dei dati stessi. In questo modo, si evita di applicare una politica troppo restrittiva o troppo permissiva a tutti gli utenti.
Attenzione alle norme vigenti sul trattamento dei dati
Inoltre, una soluzione DLP deve rispettare la privacy dei dipendenti e conformarsi alle normative vigenti sul trattamento dei dati personali. Questo implica che la soluzione deve monitorare solo i dati necessari per prevenire le perdite e utilizzarli solo per scopi legittimi e trasparenti. Inoltre, la soluzione deve conservare i dati solo per il tempo necessario e garantire il loro adeguato livello di protezione.
Una DLP deve fornire quindi una gestione flessibile delle policy per monitorare gli utenti a rischio in modo più intensivo rispetto agli altri. Ma anche fornire archiviazione dei dati che rispettino la sovranità dei dati a livello globale. Ha inoltre la necessità di avere accesso granulare per garantire che i dati dei dipendenti siano disponibili solo in base alla necessità di conoscerli. Il tutto, rendendoli anonimi ed evitando l’identificazione.
Proofpoint, l’equilibrio fra sicurezza, privacy e produttività: due approcci
Per proteggere in modo efficace l’organizzazione senza mettere produttività e privacy a rischio, esistono due approcci di massima:
Per garantire la sicurezza dell’organizzazione senza compromettere produttività e privacy, ci sono due possibili approcci:
- Rigido
- Partire con le misure preventive più rigorose su tutti gli utenti
- Informare gli utenti sul motivo di questi controlli e spiegare come richiedere eccezioni
- Fornire eccezioni tramite escaltion
- Flessibile
- Iniziare con policy di monitoraggio per capire i comportamenti a rischio
- Educare sulle migliori pratiche gli utenti
- Stabilire controlli basati sull’osservazione.
In entrambi i casi, si tiene conto della privacy dei lavoratori, che viene tutelata secondo le leggi vigenti e le norme di sicurezza. Per esempio, si catturano le schermate delle attività dei lavoratori solo quando ci sono dati delicati in gioco o se l’utente abusa delle risorse. Tuttavia, si evita di farlo se si potrebbero rilevare informazioni personali di un lavoratore.
Come determinare l’approccio migliore
Come si può capire, la decisione dell’approccio più adatto è più un’arte che una scienza. Per trovare un equilibrio tra sicurezza, produttività e privacy, è bene farsi le seguenti domande:
- Quali sono le necessità dell’azienda e gli obblighi di conformità? In che settore si opera e quali sono le mete desiderate per il programma DLP?
- Come si collegano i benefici agli obiettivi dell’azienda?
Se si lavora in un settore regolato e si deve limitare l’accesso ai dati sensibili per motivi di conformità, l’approccio più indicato potrebbe essere quello severo. Se invece si vuole permettere ai lavoratori di condividere velocemente i dati e eliminare gli ostacoli all’innovazione, si può valutare un approccio flessibile. Se un’azienda collabora con molti fornitori esterni, il rischio è più alto e quindi potrebbe essere necessario un approccio severo. Ancora meglio, una soluzione che offra la flessibilità di selezionare solo gli utenti a rischio darà la possibilità di bilanciare l’approccio severo con uno flessibile, noto anche come approccio ibrido.
Per maggiori informazioni sull’argomento, potete visitare il sito di Proofpoint, e farvi aiutare nel trovare l’equilibrio fra privacy, sicurezza e produttività.